情報セキュリティ: 2009年6月アーカイブ

もうかれこれ一ヶ月、アメリカから帰って以降、咳がずっと続いてます。何度も病院へ行って薬をもらっているものの、ちょっと良くなったかと思うとまた悪化する、といったようにずるずると続いているのです。先週、薬を変えて一週間様子を見たのですが、ほとんど改善しないばかりか、ちょっと強い薬のせいで、朝、寝起きが辛くなったり、昼間の眠気が出たりしているので、今日、また会社をちょっと抜け出して病院へ行って相談してきました。ここ数年、風邪の後に咳がなかなか治らない人がなぜか増えているらしく、ひどい人は二ヶ月ほど続くこともあるとの話で、とりあえず、今度は吸引するタイプの薬を使ってみようということになりました。前々回にレントゲンなどの検査をしていて異常もなく、聴診でも特に異常はみられないとのことで、おそらく気道の炎症などが原因だろうとのこと。気管支ぜんそくなどに使う薬をしばらく使ってみようということのようです。

とにかく、そろそろ治ってくれないと、ちょっと体力も消耗気味。ストレスも少し感じ始めているので、なんとか治したいものですが・・・。なにより、今の状況では、マスクをしているとはいえ、咳き込んでいると周囲の視線も気になりますからね。

さて、梅雨はまたちょっとお休みの様子です。紫陽花も雨が恋しそう。

雨が降らないので、今日も帰りは晴海通りを有楽町まで歩いて帰りました。とりあえず、コメント抜きで、道すがらの写真を・・・。

そういえば、大量の個人情報流出をやらかした某証券会社の元システム部長が逮捕されましたね。でも、今の法律で立件できるのは、他人のＩＤを悪用して接続したことによる「不正アクセス禁止法」違反と、会社のＣＤ（メディア）を盗んだ窃盗罪くらいで、情報そのものについては罪に問えないのではないかと・・・。一方会社のほうは、システムのＩＤ管理の不備（異動した社員のアクセス権削除漏れ）は個人情報の安全管理という面では大きな手落ちでしょう。でも、これも改善命令くらいが関の山で、むしろ会社としてはイメージダウンや「ごめんなさい料」のほうが痛手にちがいありません。もちろん、これらの損害を民事的に元部長に請求するというのは可能でしょうが、個人相手には現実的に損害をすべて・・・というのは難しいだろうなと思います。もし、この事件が、正当な業務上のアクセス権を持つ社員が、たとえばネットを使って情報を持ち出したとしたら、刑事責任を問うのはもっと難しくなりそうです。刑法に情報窃盗罪を加えようという議論はかなり前から続いているものの、なかなか実現しません。そういう意味で、この種の行為に対する司法の抑止力は限定的であるのが現実ですから、防止策は、教科書通り、きちんとしたＩＤとアクセス権の管理を行うことやログの取得と第三者的なチェック、複数者による作業といった適切な牽制関係を作っておくことなど、基本に立ち返って考えるしかなさそうです。「部長」といった立場の人がその職務権限について、適切なチェックを受ける仕組みも必要ですね。今回の事件は、ＩＤ（またはアクセス権）の削除漏れという一見些細な出来事が、とんでもないことになるという、いい例かもしれません。一般の社員ではなく、こうした欠陥を悪用できるような立場にある人が存在するとリスクはより大きなものになりますから。

さて、今日もらった薬が効いてくれることを祈って、今日は寝ることにしましょう。

イラン騒動の陰で、インターネット上でも戦いが起きていることは、一般にはあまり知られていません。単に連絡手段としてではなく、反対陣営のサーバを攻撃したりする行為が頻発しているようです。米国の重要システムに国外から攻撃や侵入が頻繁に発生している話は、先日書きましたが、いよいよ米国防省はサイバー部隊の設立準備をはじめたようです。

これまで、ある意味、草の根で行われていた「サイバー戦争」が、国家の軍事機構の枠組みに取り込まれることで、いったい何が起きるのか。もっとも懸念するのは、リアルワールドとの関係です。現実の戦争は、残念ながら長い歴史を持ち、一応のルールらしきものも存在します。また、それらを抑止するための国際的な枠組みも存在します。一方、サイバー戦争は、いまのところ「仁義なき戦い」であるようです。軍事機関や重要インフラがサイバー攻撃のターゲットになることで、それに軍が関与し、たとえば、敵国の通信拠点にミサイル攻撃をかけるというように、実際の戦争とリンクしてしまう危険性もあるように思います。少なくとも、国家的な枠組みでサイバー「軍」を作る動きがあるのであれば、今後必要になるのは、偶発的な戦争を防ぐための国際的な枠組みではないかと思います。

極論すれば他国のシステムへの攻撃を「侵略行為」と定義し、各国がこうした行為の実行に関して国内をきちんと管理し、意図しない攻撃が発生する危険を排除できなければ、戦争のリスクはなくならないことになります。国家や軍によるネット監視、不都合な通信の排除、というような、どこかの国がやっていることを、すべての国がしなければいけない日が来るのかもしれません。

これだけネットが様々な領域で使われていることの代償は、ネットで発生したリスクが社会全体に深刻な影響をあたえかねないことです。つまり、ある国の社会に対して重大な被害が予想される以上、これが戦争行為ととられてもいたしかたありません。ネットの活用と安全保障、このジレンマが、いよいよ深まりそうです。

正式社会（会社）復帰初日にもかかわらず、今日は朝から幕張直行。とりあえず、様子を見てきました。会場までの人の流れは結構多かったものの、レジストレーションはがらがらでちょっと心配に。メッセ入口の柱には、インフルエンザ注意の張り紙も・・、ま、この状況下ですからね。

実際、会場のトイレには消毒薬のほか、紙コップとうがい薬も用意されていました。

会場の様子はこんな感じ。ホール４つ分と、かなり縮小気味で、ブースもそれにあわせて全般的に小ぶりですが、予想外に人出は多く、盛況な様子でした。まぁ、これは、CMPが傘下のコンファレンスをいくつか同時開催にして、展示会を一か所にまとめてしまったから・・・ということもあるようですが、とりあえずもくろみは成功しているように見えます。少なくとも先月のラスベガスよりも盛況であることは間違いないでしょう。

今年のNOCは、ラスベガスと同じように会場内に置かれていました。気持ちコンパクトになったような気もしますが、ラスベガスに比べて、使われている機材はそれなりに高そうな（笑）感じです。

面白いなと思ったのは、NOCの横にネットワーク機器のラックが置かれているのですが、ラックごとにホワイトボードに落書きっぽく機器紹介が書かれていたことです。これは面白いですね。宣伝も多かったですけど、まぁ、スポンサー的には控えめなほうでしょう。

展示は全般的にやはり、これといった目玉が少ない感じです。仮想化、クラウドをキーワードにはしているものの、とりあえず有り物を並べている印象もあります。セキュリティ関連は、併催されているRSAコンファレンスの展示スペースをそのまま、この会場の一角に持ってきた感じです。もともとホテルの宴会場みたいなところでやっていたイメージそのものの屋台ブースをこの広い会場に持ってくると、いかにも貧相な感じがします。あと、結構幅をきかせていたのは、これも併催されているデジタル映像関連やデジタルサイネージ（広告）コンファレンス関連の展示ブース。これはなかなかおもしろかったです。通信関連で人を集めていたのはここ。

今回、UQは、ロビーにも体験コーナーを作っています。実際にさわってみた感じでは、HSDPAよりかなり早い感じがしましたが、計測サイトの実測値で、下りが8Mbps程度となっていました。上りはその10分の1程度とかなり遅い数字になっています。上りのほうが電波状況の影響を強く受けるという評価記事をどこかで見たことがあるのですが、実際、そのとおりのようです。外出先などから画像をアップすることが多い私にとっては、ちょっと寂しい感じがします。サービスエリアは、今年中に政令指定都市をカバーし、来年末までには、全国の主要都市をカバーするとのことですが、田舎に行くことが多い私には、使えるようになるのはまだ先かもしれませんね。

もう１0年以上も騒がれながら、ISP以外はなかなか腰が上がらないIPv6。v4アドレス枯渇のカウントダウンがまた始まっているものの、この不景気で一般ユーザの投資は期待できず、どちらかといえば、移行期の代替手段（大規模NATなど）の検討が中心のようにも見えます。

お昼すぎに、基調講演会場へ。山口英さんが、不況下のセキュリティについて話をするというので聞いてきました。前のコマで総務省の役人が持ち時間を大幅にオーバーしながら涼しい顔をしてしゃべっていたのにはちょっとムカつきましたが・・、結局、予定の20分遅れくらいで開始。だいたい想像通りの前振りから始まって、不況だからこそ、逆にリスクは高くなるし、一旦事故がおきると、その痛手は長引くので・・・、というところまでは誰もが想像できるところ。プレゼンの中に、「人を見たら盗人と・・・」というくだりが出てきたのは、ちょっと「性悪説」を連想させるようで残念でしたが、それを強調したかったわけではないと思うので・・・。さて、そこから先をどうするか・・・というあたりが気になったのですが、日本的だなと思ったのは、ベンダにもっと努力を要求していたところです。これまでの「売りっぱなし」を改めて、きちんとプロフェッショナルサービスをほどよい価格で売って、運用まで面倒をみなさいよ・・・とのこと。実際、ユーザ側で自前の専門家を用意できないような会社を念頭に、ベンダとのパートナーシップをもっと深めるべきだとの意見です。ただ、ちょっと気になるのが、責任の問題。アウトソースしたときに、互いにどこまでの責任を負うのか、といったあたりはちょっと微妙な感じがします。この部分にも言及して、契約書の隅に4ポイントほどの文字で「ごめんなさい」を書くのはやめて・・・・と言われてましたが、この1行はベンダ側にとってはかなり重い1行なので、しかも、安い価格で・・・と言われると多くのベンダはしり込みしてしまうんだろうなと思ってしまいます。ただ、売りっぱなしがもう通用しなくなってきているというのは、どのベンダも感じていることだと思うので、ベンダ（SI）とユーザとの間で、いい落とし所を探るような動きを期待したいところです。私自身は、ある程度の規模の企業は、一人でもいいから専門家を雇うべきだと思うのですけどね。専門家がベンダ側に偏在している日本の状況はあまり好ましくないと思うので。もちろん、中小企業については別の解も必要かもしれませんが・・。

とりあえず、多少異論はあるものの、不況でうやむやになりつつあるセキュリティに熱く警鐘を鳴らしてくれた山口先生に拍手！。（ちなみに、今日のお話は大学人としての顔で・・・とのことでした。）